Seit Sommer 2015 gilt in Deutschland das IT-Sicherheitsgesetz, das nun durch das IT-Sicherheitsgesetz 2.0 aktualisiert und erweitert werden soll. Die Vorschriften sind Teil der „Digitalen Agenda“ der Bundesregierung und sollen dazu beitragen, Bevölkerung, Unternehmen und Behörden besser vor Cyber-Angriffen zu schützen, indem die Sicherheit Kritischer Infrastrukturen (KRITIS) ständig auf dem aktuellen Stand der Technik gehalten wird.
Deshalb betrifft das IT-Sicherheitsgesetz vor allem die Informationssicherheit von Betreibern sogenannter kritischer Infrastrukturen (KRITIS). Denn Datensicherheit wird durch die Digitalisierung unseres Lebens im Allgemeinen und die digitale Transformation der Wirtschaft im Besonderen zu einem grundlegenden Bestandteil der inneren Sicherheit Deutschlands. Mit dem IT-Sicherheitsgesetz 2.0 sollen nun neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum gesetzt werden.
Wie umfassend das IT-Sicherheitsgesetz angelegt ist, zeigt sich unter anderem daran, in welchen Gesetzen und Vorschriften es Bestimmungen änderte. Davon betroffen sind u.a.: BSI-Gesetz, Atomgesetz, Energiewirtschaftsgesetz, Telemediengesetz, Telekommunikationsgesetz, Bundesbesoldungsgesetz, Bundeskriminalamtgesetz sowie Gesetz zur Strukturreform des Gebührenrechts des Bundes.
Bei KRITIS-Unternehmen handelt es sich im Wesentlichen um Organisationen, die für das Gemeinwesen von zentraler Bedeutung sind. Um insbesondere die Betreiber von kritischen Infrastrukturen besser vor Hacker-Angriffen zu schützen, sollen neue IT-Sicherheitsstandards geschaffen werden. Durch die Neuerung soll unter anderem die Stellung des BSI gestärkt werden, indem es erweiterte Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung sowie bei bestimmten Gefahren für die Informationssicherheit eine Anordnungsbefugnis gegenüber Telekommunikations- und Telemedienunternehmen erhält. Als neue Aufgabe des BSI ist der Verbraucherschutz hinzugekommen, wofür die Befugnis des BSI zur Untersuchung von IT-Produkten neu gefasst wurde. Hersteller werden nun zur Auskunft über ihre Produkte verpflichtet.
Betroffene Sektoren und deren Schwellenwerte
In der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) legt der Gesetzgeber die betroffenen Sektoren fest, die im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen zählen. Insgesamt fallen sieben Sektoren in den KRITIS-Bereich. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich neben dem Sektor zusätzlich nach diversen Schwellenwerten:
- Energie: Strom- und Gasversorger, Kraftstoff-, Heizöl und Fernwärmeversorger. Dabei werden alle Unternehmen erfasst, die an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen beteiligt sind. Die Schwellenwerte für den Sektor Energie sind in Anhang 1
- Wasser: Trinkwasserversorger und Abwasserbeseitiger. Betroffen sind alle Unternehmen in den Bereichen Wassergewinnung, -aufbereitung, -verteilung, -steuerung und -überwachung, sowie Abwasserbehandlung, Gewässereinleitung. Die Schwellenwerte für den Sektor Wasser sind in Anhang 2
- Ernährung: Lebensmittelversorgung (Produktion, Verarbeitung und Handel von Lebensmitteln). Die Schwellenwerte für den Sektor Energie sind in Anhang 3
- Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung. Dies umfasst IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste u.v.a. Die Schwellenwerte für den Sektor Energie sind in Anhang 4
- Gesundheit: Erfasst sind die stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Laboratoriumsdiagnostik. Die Schwellenwerte für den Sektor Energie sind in Anhang 5
- Finanz- und Versicherungswesen: Hier sind Dienstleister erfasst, welche an der Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen beteiligt sind. Die Schwellenwerte für den Sektor Energie sind in Anhang 6
- Transport und Verkehr: Personen- und Gütertransport. Die Schwellenwerte für den Sektor Energie sind in Anhang 7
Auswirkungen auf betroffene Unternehmen
KRITIS-Unternehmen haben eine Meldepflicht für erhebliche Störungen der Unternehmens-IT gegenüber dem BSI. Dafür muss die Störung noch nicht eingetreten sein. Es genügt, wenn es sich um eine außergewöhnliche IT-Störung handelt, deren Eintreten für möglich gehalten wird. Dazu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte, z.B. nach Software-Updates. Im Rahmen dessen stärkt das Gesetz zusätzlich die Stellung des Bundesamtes für Sicherheit in der Informationstechnik und des Bundeskriminalamtes (BKA) hinsichtlich Cyber-Crime.
Diese Meldepflichten gelten künftig auch für Unternehmen unterworfen sein, die von besonderem öffentlichen Interesse sind, wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.
Weiterhin sind betroffene Unternehmen verpflichtet, ihre IT-Infrastruktur nach dem Stand der Technik abzusichern und diese alle zwei Jahre überprüfen zu lassen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden. Dies lässt sich am ehesten durch die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 erreichen, welches das BSI als ausreichenden Nachweis anerkennt.
Auch haben Betreiber kritischer Infrastrukturen die Möglichkeit, Branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen und durch das BSI überprüfen zu lassen. So können die zuvor genannten Maßnahmen zur Vermeidung von Störungen konkretisiert werden. Das BSI hat eine Übersicht mit den bereits bestehenden und genehmigten branchenspezifischen Sicherheitsstandards verschiedener Branchen einzelner Sektoren veröffentlicht.
- Die Branchenspezifischen Sicherheitsstandards für die Wasserversorgung und die Abwasserbeseitigung können Sie über die Website der DVGW oder der DWA Diejenigen für den Bereich Strom können hier eingesehen werden.
- Für Branchenspezifische Sicherheitsstandards für die Ernährungsindustrie wenden Sie sich an die Bundesvereinigung der Deutschen Ernährungsindustrie e.V.
- Ein Ansprechpartner für die branchenspezifischen Sicherheitsstandards für den Bereich Pharma (Arzneimittel und Impfstoffe) ist unter anderem der Bundesverband der Pharmazeutischen Industrie e. V.
- Die branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus finden Sie auf der Website der DKG. Gerade hier ist jedoch zu betonen, dass aufgrund des seit Oktober 2020 geltenden Patientendatenschutzgesetzes erhöhte Anforderungen im Bereich der Informations- und IT-Sicherheit auch für solche Krankenhäuser gelten, die aufgrund des Schwellenwertes nicht als Kritische Infrastruktur gelten. Daher sollte auch hier ein branchenspezifischer Sicherheitsstandard angewendet werden. Weitere Informationen dazu finden Sie in unserem Ratgeber zum Patientendatenschutzgesetz und dessen Auswirkungen.
Wer als Betreiber einer Kritischen Infrastruktur gegen die Meldepflicht verstößt, eine erforderliche Vorkehrung zum Schutz vor Störungen nicht trifft oder einer anderen Pflicht nicht nachkommt, riskiert ein Bußgeld. Durch das IT-Sicherheitsgesetz 2.0 werden auch diese Bußgelder drastisch erhöht und können bis zu 20.000.000 Euro oder 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs betragen.